Campania de spionaj cybernetic “Dragonfly” a reuşit să compromită un număr de organizaţii importante din sectorul energetic din SUA şi Europa, fiind descoperită de experţii companiei de securitate informatică, Symantec.
Printre ţintele grupului Dragonfly s-au numărat operatori ai reţelelor de distribuţie energetică, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum şi furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate în Statele Unite, Spania, Franţa, Italia, Germania, Turcia şi Polonia.
Grupul Dragonfly are resurse vaste şi dispune de o varietate de unelte malware, fiind capabil să lanseze atacuri prin intermediul mai multor vectori, se arată în raportul Symantec. Cea mai ambiţioasă campanie de atac a Dragonfly s-a soldat cu compromiterea unor furnizori de echipamente pentru sisteme de control industrial (ICS), cărora le-a infectat programele software cu un virus de tip troian cu capacitate de acces de la distanţă. Astfel, companiile instalau malware atunci când descărcau actualizări software pentru computerele care controlau echipamentele ICS. Aceste infectări nu doar că le oferă atacatorilor o cale de acces la reţelele interne ale organizaţiilor vizate, ci le-a permis totodată organizarea unor operaţiuni de sabotaj împotriva computerelor ICS infectate.
În urma investigaţiilor, au fost observate o serie de similarităţi între Dragonfly şi Stuxnet, prima campanie majoră cunoscută de atacuri malware asupra sistemelor ICS. Însă, în timp ce Stuxnet a fost concentrat exclusiv pe sabotajul programului nuclear iranian, având sabotajul drept scop principal, Dragonfly pare să aibă un obiectiv mult mai larg şi să aibă drept scop primar spionajul şi accesul nerestricţionat, în timp ce sabotajul este o capabilitate opţională, utilizată acolo unde este necesar.
Pe lângă compromiterea programelor ICS, Dragonfly a utilizat şi campanii de e-mailuri spam pentru a infecta organizaţiile vizate. Grupul a folosit două unelte malware principale: Backdoor.Oldrea şi Trojan.Karagany.
Odată instalat pe computerul unei victime, programul Oldrea adună informaţii despre sistem, precum şi liste de fişiere, programe instalate şi structura partiţiilor disponibile. De asemenea, programul va extrage informaţii din agenda de adrese Outlook a computerului, precum şi din fişierele ce configurează reţeaua VPN. Aceste informaţii sunt apoi scrise şi criptate într-un fişier temporar, care este apoi transmis unui server de comandă şi control (C&C) aflat în subordinea atacatorilor.
Cea de-a doua unealtă principală folosită de grupul Dragonfly este Trojan.Karagany. Spre deosebire de Oldrea, Karagany era deja disponibil pe piaţa neagră. Codul sursă pentru prima versiune a programului Karagany a fost dezvăluit în 2010.